Підрозділ 29155 російської військової розвідки ГРУ — команда, відповідальна за спроби державного перевороту, вбивства та вибухи — розгалужується у зухвалих хакерських операціях з цілями по всьому світу.
Російське військове розвідувальне агентство, ГРУ, давно має репутацію одного з найагресивніших у світі практиків диверсій, вбивств і кібервійни, з хакерами, які пишаються тим, що працюють під тим самим прапором, що й жорстокі оператори спецназу. Але одна нова група в цьому агентстві показує, як ГРУ, можливо, тісніше переплітає фізичні та цифрові тактики, ніж будь-коли раніше: команда хакерів, яка виникла з того самого підрозділу, відповідального за найвідоміші фізичні тактики Росії, включаючи отруєння, спроби перевороту та бомбардування всередині західних країн.
Широка група західних державних установ із США, Великобританії, України, Австралії, Канади та п’яти європейських країн 5 вересня виявила, що хакерська група, відома як Cadet Blizzard, Bleeding Bear або Greyscale, яка запустила кілька хакерських операцій, націлених на Україну, США та інші країни Європи, Азії та Латинської Америки, насправді є частиною підрозділу 29155 ГРУ, підрозділу шпигунського агентства, відомого своїми зухвалими фізичними диверсіями та політично мотивованими вбивствами. Цей підрозділ у минулому був пов’язаний, наприклад, зі спробою отруєння перебіжчика з ГРУ Сергія Скрипаля нервово-паралітичною речовиною «Новачок» у Великій Британії, що призвело до смерті двох перехожих, а також з іншою змовою вбивства в Болгарії, вибухом складу зброї в Чехії та невдалої спроби державного перевороту в Чорногорії.
Тепер ця сумнозвісна частина ГРУ, схоже, розробила власну активну команду операторів кібервійни, відмінну від тих, що входять до інших підрозділів ГРУ, таких як підрозділ 26165, широко відомий як Fancy Bear або APT28, і підрозділ 74455, група, орієнтована на кібератаки. як Sandworm. З 2022 року нещодавно завербовані хакери підрозділу 29155 ГРУ взяли на себе лідерство в кіберопераціях, у тому числі зі зловмисним програмним забезпеченням для знищення даних, відомим як Whispergate, яке вразило щонайменше два десятки українських організацій напередодні вторгнення Росії в лютому 2022 року, а також псування українських урядових веб-сайтів, крадіжка та витік інформації з них під псевдонімом «хактивіста», відомого як Free Civilian.
Ідентифікація Cadet Blizzard як частини підрозділу 29155 ГРУ показує, як агентство ще більше стирає межу між фізичною та кібертактикою у своєму підході до гібридної війни, за словами одного з багатьох співробітників західної розвідки, якого WIRED опитав на умовах анонімності, оскільки вони не були не має права говорити, використовуючи свої імена. «Спецназ зазвичай не створює кіберпідрозділ, який би віддзеркалював їхню фізичну діяльність», — каже один чиновник. «Це важкий фізичний оперативний підрозділ, якому доручено виконувати жахливіші дії, до яких залучено ГРУ. Я вважаю дуже дивним, що цей підрозділ, який виконує дуже практичні речі, тепер робить кібер-речі за допомогою клавіатури».
На додаток до спільної публічної заяви про зв’язок Cadet Blizzard з підрозділом 29155 ГРУ, Агентство з кібербезпеки та безпеки інфраструктури США опублікувало пораду з детальним описом методів злому групи та способів їх виявлення та пом’якшення. Міністерство юстиції США висунуло звинувачення п’ятьом членам групи поіменно, усім заочно, на додаток до шостого, якому раніше було пред’явлено звинувачення раніше влітку без жодної публічної згадки про підрозділ 29155.
«Кампанія ГРУ WhisperGate, у тому числі спрямована на українську критично важливу інфраструктуру та державні системи, які не мають військового значення, є символом огидного ігнорування Росією невинних цивільних під час її несправедливого вторгнення», — написав помічник генерального прокурора Міністерства юстиції США Метью Г. Олсен у своєму зверненні. заява. «У сьогоднішньому обвинувальному акті підкреслюється, що Міністерство юстиції використовуватиме всі доступні інструменти, щоб перервати цей вид зловмисної кіберактивності та притягнути зловмисників до відповідальності за невибіркове та деструктивне націлювання на Сполучені Штати та наших союзників». Державний департамент США також опублікував на своєму веб-сайті Rewards for Justice винагороду в розмірі 10 мільйонів доларів за інформацію, яка допоможе ідентифікувати або місцезнаходження членів групи, а також їхні фотографії. Окрім раніше відомих операцій проти України, представники західної розвідки повідомили WIRED, що група також націлила на широкий спектр організацій у Північній Америці, Східній та Центральній Європі, Центральній Азії та Латинській Америці, таких як сектори транспорту та охорони здоров’я, уряд агентства та «критичну інфраструктуру», включаючи «енергетичну» інфраструктуру, хоча чиновники відмовилися надати більш конкретну інформацію. Офіційні особи повідомили WIRED, що в деяких випадках хакери 29155, здавалося, готувалися до більш руйнівних кібератак, схожих на Whispergate, але не мали підтвердження того, що такі атаки дійсно мали місце. У червні Держдепартамент США окремо виявив, що ті самі хакери ГРУ, які здійснили Whispergate, також намагалися знайти вразливі місця в об’єктах критичної інфраструктури США, «зокрема, в енергетичному, урядовому та аерокосмічному секторах». У нещодавно розкритому обвинувальному акті Міністерства юстиції проти 29155 хакерів стверджується, що вони 63 рази досліджували мережу урядової установи США в Меріленді, але не повідомляється, чи були такі перевірки успішними, а також шукали вразливості в цільових мережах не менше ніж у 26 хакерах. країни НАТО. За словами представників західної розвідки, у багатьох випадках намір хакерів 29155 виявився військовим шпигунством. В одній із центральноєвропейських країн, наприклад, кажуть, що група зламала залізничне агентство, щоб стежити за постачаннями потягів в Україну. В самій Україні, за їх словами, хакери зламали камери споживчого спостереження, можливо, щоб отримати видимість пересування українських військ або зброї. Українські офіційні особи раніше попереджали, що Росія використовувала таку тактику для нанесення ракетних ударів, хоча представники розвідки, які говорили з WIRED, не мали доказів того, що операції 29155 використовувалися саме для цього ракетного наведення. Джерела західної розвідки стверджують, що команда хакерів підрозділу 29155 ГРУ була сформована ще в 2020 році, хоча до останніх років вона в основному зосереджувалася на шпигунстві, а не на більш руйнівних кібератаках. Створення ще однієї хакерської групи в ГРУ може здатися зайвим, враховуючи, що підрозділи ГРУ, які раніше існували, такі як Sandworm і Fancy Bear, вже давно є одними з найактивніших і агресивних гравців у світі в кібервійні та шпигунстві. Але офіційні особи західної розвідки кажуть, що підрозділ 29155, ймовірно, був змушений шукати власну спеціалізовану хакерську команду через внутрішню конкуренцію всередині ГРУ, а також через зростаючий вплив групи після сприйнятого успіху її операцій — навіть невдалої спроби вбивства Скрипаля. «Отруєння Скрипаля приділило їм багато уваги та багато повноважень», — каже один чиновник. «Ми вважаємо, що дуже ймовірно, що це призвело до того, що вони отримали набагато більше коштів і ресурсів, щоб залучити можливості для створення кіберпідрозділу. У західному світі та в Росії успіх вимірюється по-різному».
За словами представників західної розвідки, які спілкувалися з WIRED, хакерська група 29155 складається лише з 10 осіб, усі з яких відносно молоді офіцери ГРУ. Декілька осіб брали участь у змаганнях з хакерства «Capture the Flag» — симуляції злому, які часто зустрічаються на хакерських конференціях — до того, як приєднатися до ГРУ, і, можливо, були завербовані на цих подіях. Але ця невелика команда також у деяких випадках співпрацювала з російськими кіберзлочинними хакерами, кажуть чиновники, розширюючи свої ресурси, а в деяких випадках використовуючи товарне шкідливе програмне забезпечення для кіберзлочинців, що ускладнило приписування її діяльності російській державі.
Одним із прикладів цих злочинних партнерств є Амін Тимович Стігал, російський хакер, якого США заочно звинуватили в червні за ймовірну допомогу в атаках Cadet Blizzard Whispergate на український уряд. Державний департамент США також призначив винагороду в 10 мільйонів доларів за інформацію, яка призведе до арешту Стігала.
Окрім залежності від хакерів-злочинців, інші ознаки рівня технічних навичок Cadet Blizzard, здається, відповідають опису представників розвідки про невелику та відносно молоду команду, за словами одного дослідника безпеки, який уважно стежив за групою, але побажав не називати його імені. тому що вони не були уповноважені своїм роботодавцем говорити про свої висновки. Щоб отримати початковий доступ до цільових мереж, хакери в основному використовували кілька відомих уразливостей програмного забезпечення і не використовували жодної так званої вразливості нульового дня — раніше невідомих недоліків, які можна зламати, — за словами дослідника. «Напевно, там не так багато практичного досвіду. Вони дотримуються дуже звичайної операційної процедури», — каже дослідник. «Вони щойно придумали експлойт du jour, який забезпечить їм найбільший пробіг у вибраних доменах, і дотримувалися його». Іншим випадком недосконалості угруповання є карта України, яка була включена до їхніх зображень зіпсованих зображень і опублікована на зламаних українських веб-сайтах, включала Кримський півострів, який Росія заявляє як свою територію з 2014 року.
Найвідоміший спецназ Росії тепер має власну команду кібервійни
